Risiken durch IT-Nutzer mit privilegierten Zugriffsrechten vermeiden

SicherheitSicherheitsmanagement

IT-Nutzer mit privilegierten Zugriffsrechten – seien es nun Führungskräfte, Mitarbeiter aus bestimmten Abteilungen oder Systemadministratoren – stellen ein erhebliches Sicherheitsrisiko dar. Sie müssen dazu gar nicht einmal böswilig agieren. Oft reicht es, wenn sie ihre Arbeit effektiv erledigen wollen. Geeignete Systeme helfen, das Risiko für Firmen und die Mitarbeiter klein zu halten.

Den IT-Systemen und Datenbeständen von Unternehmen droht nicht alleine Gefahr durch externe Hacker. Oft es sind es eigene Mitarbeiter, die aus Unkenntnis oder Nachlässigkeit Geschäftsdaten Risiken aussetzen. Laut einer Studie von Microsoft haben dadurch bereits 40 Prozent der Unternehmen in Deutschland Schäden erlitten. In zehn Prozent der befragten Unternehmen kam es zu einer unbefugten Kenntnisnahme von Daten oder Informationsdiebstahl.

Security (Bild: Shutterstock)

Für solche Vorkommnisse sind häufig IT-Nutzer verantwortlich, die mit erweiterten Nutzungsrechten ausgestattet sind. Diese gibt es in jedem Unternehmen. Sie haben Zugang zu vertraulichen Informationen wie Firmen- und Kundendaten. Zu dieser Kategorie zählen beispielsweise Mitglieder der Geschäftsführung, Finanzchefs, Vertriebsleiter und Mitarbeiter in der Personalabteilung.

Darüber hinaus gibt es die sogenannten Superuser, eine nochmals übergeordnete Hierarchie mit de facto uneingeschränkten Zugriffsmöglichkeiten. Dies sind beispielsweise Administratoren, aber auch Spezialisten von externen IT-Dienstleistern, die im Auftrag eines Unternehmens dessen IT-Systeme verwalten. Solche Fachleute können nicht nur auf Datenbanken oder E-Mail-Server zugreifen, sondern verwalten auch Passwörter und haben Zugang zu den Konfigurationseinstellungen von Netzwerk- und IT-Sicherheitssystemen.

Risiken durch Systemverwalter

Wie nachlässig sich ein Großteil der Systemadministratoren in puncto IT-Sicherheit verhält, belegt eine Untersuchung von Balabit. So räumten 68 Prozent der Administratoren ein, dass sie vertrauliche Account-Daten über unsichere Kommunikationskanäle weitergeben, etwa mittels SMS oder gar in Form von Post-it-Zetteln, die sie an Monitore kleben. Ein weiteres potenzielles Sicherheitsrisiko ist, dass sich Administratoren häufig Account-Daten teilen. Das erleichtert zwar die Arbeit, etwa wenn ein IT-Fachmann einen Kollegen in dessen Abwesenheit vertreten muss. Doch durch dieses “Sharing” von Log-in-Daten steigt auch das Sicherheitsrisiko.

Ihre zentrale Position und ihre umfangreichen Rechte machen in Unternehemn selbst loyale und zuvrlässige Systemverwalter zu einem hohen Risiko (Grafik: Balabit)
Ihre zentrale Position und ihre umfangreichen Rechte machen in Unternehemn selbst loyale und zuvrlässige Systemverwalter zu einem hohen Risiko (Grafik: Balabit)

Wenn ein privilegierter Nutzer und Superuser seine Machtfülle absichtlich oder unabsichtlich missbraucht und damit dem Unternehmen schadet, können konventionelle Logging-Lösungen nur begrenzt Aufschluss darüber geben, was wirklich auf einem System passiert ist. Zudem kann ein Superuser Log-Dateien manipulieren. In diesem Fall kann niemand mehr nachvollziehen, wer für welche Aktionen verantwortlich war. Noch schwieriger ist es, den Missbrauch von Zugriffsrechten zu beweisen. Eine solche Beweispflicht ist jedoch in Datenschutz- und Compliance-Vorgaben festgelegt, etwa der EU-Datenschutz-Grundverordnung und den Payment Card Industry Data Security Standards (PCI-DSS).

Privileged Access Management als Lösung

Abhilfe schaffen Lösungen für das Privileged Access Management (PAM). Sie helfen Unternehmen, Cyber-Attacken zu erkennen und zu unterbinden, die mithilfe privilegierter Accounts durchgeführt werden. Ein zentraler Bestandteil eines PAM-Systems ist das Privileged Session Management. Damit lassen sich die Aktivitäten von Power-Usern, Administratoren und von Mitarbeitern von IT-Dienstleistern erfassen und protokollieren. Eine Privileged-Session-Management-Lösung sollte folgende Kernfunktionen bereitstellen:

  • Den Zugriff auf IT-Ressourcen durch IT-Nutzer mit privilegierten Rechten kontrollieren.
  • Die Befehle, die ein solcher User eingibt, in Echtzeit erfassen. Dies ist wichtig, damit bestimmte Aktionen zweifelsfrei einem Nutzer zugewiesen werden können, Stichwort Compliance. Im Idealfall lassen sich außerdem mit der Lösung Mitschnitte von Tastatureingaben und Bildschirminhalten erstellen.
  • Die Möglichkeit bieten, die erfassten Daten mithilfe von Analyse- und Suchwerkzeugen wie einer freien Textsuche schnellstmöglich auszuwerten. Das beschleunigt die Suche nach den Ursachen von Fehlfunktionen und die Analyse von sicherheitsrelevanten Vorkommnissen.
    • Wichtig ist außerdem, dass Privileged-Access-Management-Lösungen mit integriertem Privileged Session Management einen flexiblen, auf den Nutzer zugeschnittenen Ansatz bereitstellen. Dies ist die Voraussetzung dafür, dass Geschäftsabläufe so wenig wie möglich beeinträchtigt werden. PAM-Lösungen etablierter Anbieter, etwa von Balabit, sind somit in der Lage, Unternehmen in Echtzeit vor Gefahren zu schützen, die durch den Missbrauch von Accounts mit privilegierten Zugriffsrechten entstehen können.

      Praktikable Lösung: Proxy-Gateways

      In der Praxis haben sich vor allem PAM-Lösungen auf Basis von Proxy-Gateways bewährt. Sie werden zwischen einem Server und Client platziert und inspizieren den Datenverkehr auf der Anwendungsebene. Die Trennung von Clients und Servern stellt sicher, dass für eine Auditierung relevante Daten nicht verändert werden können. Einen zusätzlichen Schutz bieten die Verschlüsselung der Daten sowie der Einsatz von Zeitstempeln und Signaturen.

      Unerwünschte Aktivitäten von externen Angreifern und internen, priveligierten Anwendern lassen sich durch geeignete Systeme gut unterscheiden (Grafik: Balabit)
      Unerwünschte Aktivitäten von externen Angreifern und internen, priveligierten Anwendern lassen sich durch geeignete Systeme gut unterscheiden (Grafik: Balabit)

      Im Vergleich zu Jump Hosts und Lösungen auf Basis von Agenten bieten Proxy-Gateways einen weiteren Vorteil: Sie erfordern nur minimale Änderungen an der IT- und Netzwerk-Infrastruktur. Daher sind keine Änderungen an Arbeitsaufläufen erforderlich.

      Die sechs häufigsten illegalen Praktiken von IT-Administratoren

      Wie wichtig der Einsatz von Lösungen für das Privileged Access Management und das Privileged Session Management ist, unterstreicht eine Studie von Balabit, für die 200 IT-Mitarbeiter befragt wurden. So kann die Mehrzahl der IT-Systemverwalter der Versuchung nicht widerstehen, die IT-Infrastruktur ihres Arbeitgebers auch für Aktivitäten zu nutzen, die gemäß ihres Arbeitsvertrags eigentlich untersagt sind.

      So räumten 74 Prozent der IT-Fachleute ein, dass sie bereits “mindestens einmal” IT-Systeme des Unternehmens auf unerlaubte Weise genutzt haben. Dabei handelte es sich nicht um Lappalien: Wären diese Aktivitäten publik geworden, “hätte sie das ihren Job gekostet”, geben die Befragten zu.

      Webinar

      Digitalisierung fängt mit Software Defined Networking an

      In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

      Dennoch würden es 92 Prozent der Befragten begrüßen oder zumindest tolerieren, wenn ihre eigenen Tätigkeiten mithilfe eines Monitoring-Tools dokumentiert würden. Der Grund ist, dass sich die Hälfte der Systemverwalter manche Account-Daten wie Passwörter und Log-in-Namen mit Kollegen teilt, etwa bei der Administration von Servern. An die 41 Prozent der Administratoren gaben an, es wäre in mindestens einem Fall hilfreich gewesen, wenn ein Tool mitprotokolliert hätte, welcher Mitarbeiter für welche Aktionen genau verantwortlich war. Nur acht Prozent der IT-Fachleute sprachen sich strikt gegen den Einsatz von Lösungen aus, die die Aktivitäten von privilegierten IT-Usern wie Administratoren festhalten.

      Die Top-6-Liste verbotener Aktivitäten von IT-Mitarbeitern

      1. Download von illegalem Content am Arbeitsplatz (54 Prozent).
      2. Änderung von Sicherheitseinstellungen von Firewalls und anderen IT-Systemen (48 Prozent): Ein Ziel solcher Maßnahmen ist, sich Zugriff auf IT-Ressourcen im Unternehmen zu verschaffen, etwa per Remote-Access.
      3. “Absaugen” von firmeninternen Informationen (29 Prozent).
      4. Lesen von vertraulichen Dokumenten (25 Prozent): Dazu gehören Gehaltslisten und Personalunterlagen, aber auch vertrauliche Geschäftsunterlagen.
      5. Heimliches Lesen der E-Mails von Kollegen (16 Prozent).
      6. Löschen oder Manipulieren von Log-Dateien (15 Prozent): Dies dient häufig dazu, die Spuren von verbotenen Aktivitäten zu verwischen.

      Fazit: Privilegierte IT-Nutzer in IT-Sicherheitskonzepte einbinden

      Die Studie von Balabit belegt, dass es unumgänglich ist, auch die Zugriffe von Nutzern mit privilegierten Zugriffsrechten auf IT-Ressourcen zu erfassen und zu protokollieren. Das hat nichts mit Misstrauen gegenüber Mitarbeitern und Dienstleistern zu tun. Vielmehr sind solche Maßnahmen unverzichtbar, um die stetig wachsenden Anforderungen in Bezug auf den Schutz sensibler Daten zu erfüllen.